Ben bir otomatik tamamlama jQuery UI Widget kullanarak kullanıcı oluşturulan öğelerin bir tablosunu arar yazılmış bir PHP sınıfı var. JSON kimlikleri ve bunlara karşılık gelen değerler listesidir.

Bir kullanıcı HTML karakter etiketleri ile bir öğe gönderdiğinde ise, oldukları gibi DB saklar. Otomatik tamamlama JSON yayını aldığında, sadece iyi çalışıyor, ama ben JSON besleme url giderseniz, çıkış tehlikeye düşer. <h1>Blah</h1> oluşturulan madde çıkışı gösterir bir kullanıcı için HTML olarak vermektedir. Yine, sadece otomatik tamamlama widget metin olarak görüntüler.

Bu endişe değer bir güvenlik açığı mı? Ben JSON beslemeyi giderir ki, htmlspecialchars() ile değerleri sterilize denedim, ama sonra & vb metin olarak otomatik tamamlama widget gösterir.